Powiat Tczewski otrzymał dofinansowanie do projektu pn.: Podniesienie poziomu cyberbezpieczeństwa w Starostwie Powiatowym w Tczewie.
Projekt jest realizowany w ramach FUNDUSZY EUROPEJSKICH NA ROZWÓJ CYFROWY 2021-2027 (FERC) Priorytet II: Zaawansowane usługi cyfrowe, Działanie 2.2. – Wzmocnienie krajowego systemu cyberbezpieczeństwa.
Zgodnie z założeniami Programu Cyberbezpieczny Samorząd projekt ma za zadanie podnieść poziom cyberbezpieczeństwa m.in. jednostek samorządu terytorialnego w zakresie zabezpieczenia bezpieczeństwa informacji i infrastruktury informatycznej.
Jednym z głównych elementów działania zaplanowanego w ramach realizacji programu Cyberbezpieczny Samorząd w obszarze organizacyjnym jest wdrożenie SZBI, w oparciu o normę ISO:27001. Wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji pozwoli zapewnić odpowiedni poziom odporności Starostwa Powiatowego w Tczewie na zakłócenia i zagrożenia związane z bezpieczeństwem informacji, które mogłyby wywrzeć negatywny wpływ na ciągłość działania urzędu oraz na realizację powierzonych ustawowo zadań. Tym samym wdrożenie kompleksowego SZBI będzie obejmowało wszystkie newralgiczne obszary, w tym obszar bezpieczeństwa informatycznego, osobowego, prawnego i fizycznego. W ramach tego działania zostaną przeprowadzone audyty, w tym m.in. audyt zgodności z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (KRI), zostaną opracowane zasady, procedury i procesy zarządzania i monitorowania wymogów w zakresie regulacyjnym, prawnym, ryzyka i operacyjnym oraz audyt SZBI, zgodności KRI i uoKSC. Całość będzie realizowana w oparciu o zewnętrzne usługi polegające na opracowaniu i wdrożeniu dokumentacji SZBI, wsparciu pełnomocnika SZBI oraz przeprowadzeniu zaplanowanych audytów jednostki.
W obszarze kompetencyjnym zostaną zakupione usługi szkolenia dla pracowników z zakresu bezpieczeństwa informacji, cyberbezpieczeństwa i SZBI w praktyce wraz z testami socjologicznymi, szkolenia dla kadry kierowniczej z zakresu cyberbezpieczeństwa, wymogów wynikających z aktualnych przepisów KRI, RODO i ustawy o krajowym systemie cyberbezpieczeństwa, zarządzania ryzykiem w bezpieczeństwie informacji, SZBI w praktyce, a także specjalistyczne szkolenia dla kadry informatycznej z zakresu zastosowanych lub planowanych do zastosowania środków bezpieczeństwa w ramach projektu i cyberbezpieczeństwa. Planowany jest także zakup usługi dotyczącej specjalistycznych szkoleń z zakresu weryfikacji przyjętych procedur i polityk bezpieczeństwa w oparciu o przyjęte normy SZBI dla specjalistów posiadających odpowiednie obowiązki w ramach SZBI. Starostwo Powiatowe będzie także wymagało, aby w ramach usługi szkoleniowej wybrany podmiot szkoleniowy, zaplanował i zrealizował inne oddziaływania edukacyjne, w tym np. przygotowanie newsletterów, wewnętrznych webinarów, plakatów do rozmieszczenia w ogólnodostępnych miejscach, komunikaty i ostrzeżenia, podcasty, konkursy czy quizy. Szkolenia będą powiązane z testami socjologicznymi, które będą weryfikować świadomość zagrożeń i reakcji pracowników Starostwa. Szkoleniowcy będą zobowiązani do zaprezentowania i omówienia opracowanej dokumentacji SZBI, co pozwoli trwale zmienić zachowania pracowników i poprzez zapoznanie z wdrożonymi procedurami SZBI podniesie poziom odporności Starostwa na zagrożenia cyfrowego świata. Przeszkolona kadra kierownicza i pracownicy będą w stanie skutecznie rozpoznawać popularne typy zagrożeń, nauczą się także jak na nie reagować oraz ustanawiać odpowiednio silne zabezpieczenia dla informacji. Całość będzie realizowana w oparciu o zewnętrzne usługi profesjonalnych firm szkoleniowych.
Najwięcej środków zostanie przeznaczonych na obszar techniczny, w którym zostaną zrealizowane działania mające na celu zabezpieczyć jednostkę przed skutkami zaniku zasilania elektrycznego w postaci zakupu i wdrożenia agregatu prądotwórczego. Pozwoli to skutecznie realizować zadania publiczne, w tym e-usługi dla klientów, w sytuacji długotrwałej przerwy w zasilaniu.
Kolejnym zadaniem będzie rozbudowa istniejącego klastra HA o dodatkowe 2 serwery i macierz. Jest to niezbędne działanie mające na celu utworzenie zasobów informatycznych do uruchomienia i utrzymania systemu kontroli dostępu do sieci firmowej NAC oraz systemu klasy SIEM do zarządzania informacjami i zdarzeniami bezpieczeństwa informatycznego, które również będą zakupione i wdrożone w ramach projektu.
System kontroli dostępu do sieci firmowej NAC znacząco wpływa na podniesienie poziomu cyberbezpieczeństwa ponieważ jego celem jest ujednolicenie technologii zabezpieczeń punktów końcowych przez uwierzytelnianie użytkownika lub urządzenia i wymuszanie autoryzacji w oparciu o standard IEEE 802.1X. Urząd posiada niezbędne zasoby sprzętowe do wdrożenia, jednak brakuje rozwiązań programowych do prawidłowego i pełnego zabezpieczenia sieci informatycznej.
Wdrożenie systemu klasy SIEM umożliwi zbieranie, agregowanie oraz przetwarzanie bieżących informacji i dzienników zdarzeń bezpieczeństwa generowanych przez rozmaite urządzenia oraz oprogramowanie sieciowe. System ten będzie gromadził w centralnym miejscu dzienniki zdarzeń, poddawał je korelacji, a w przypadku wykrycia anomalii alarmował kadrę informatyczną jednostki. Dzięki temu będzie miała ona informacje o zaistniałych zagrożeniach i będzie mogła podejmować odpowiednie działania, zgodnie z wewnętrznymi procedurami i politykami. Wdrożenie takiego systemu wynika z raportu podsumowującego diagnozę cyberbezpieczeństwa dokonaną w ramach programu Cyfrowy Powiat.
W przypadku powstania wystarczających oszczędności z realizacji ww. zadań zostanie zakupiony i wdrożony system do wykrywania podatności w systemie informatycznym jednostki w oparciu o dostępne bazy.
Powyższe działania mają za zadanie uzupełnić istniejące w jednostce rozwiązania z zakresu cyberbezpieczeństwa o narzędzia pozwalające jeszcze lepiej ją chronić zarówno w obszarze technicznym, jak i organizacyjnym i kompetencyjnym. Dzięki tym działaniom zostanie podniesiony poziom świadomości cyberbezpieczeństwa u pracowników jednostki. Zadania te wpisują się także w obowiązki wynikające z przepisów prawa, w tym KRI oraz w dobre praktyki stosowane w obszarze bezpiecznego przetwarzania informacji.
Realizacja projektu potrwa maksymalnie 24 miesiące od dnia wejścia w życie umowy o powierzenie grantu, jednakże nie dłużej niż do 30.06.2026 r.
Efekty projektu zostaną zachowane przez okres 2 lat od dnia zakończenia Projektu.
We wniosku aplikacyjnym w części budżetowej wydatki rzeczywiście ponoszone określono w kwotach netto, VAT jest niekwalifikowalny.
Wydatki ogółem: 1 112 234,00 zł
Wydatki kwalifikowalne: 904 255,00 zł
Dofinansowanie: 849 999,97 zł (94%), w tym: wkład Unii Europejskiej: 705 500,00 zł (78,02%)
wkład budżetu państwa: 144 500,00 zł (15,98%)
Wkład własny: 207 979,00 zł (w tym wkład własny z wydatków kwalifikowalnych: 54 255,03 zł)
Więcej informacji o konkursie na stronie: https://www.gov.pl/web/cppc/cyberbezpieczny-samorzad
# FunduszeUE
# FunduszeEuropejskie